Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
30.11.2023

В сети Comet и Twelve: F.A.C.C.T. раскрывает инфраструктуру киберсиндиката

Компания F.A.C.C.T. обнаружила новые кибератаки преступного синдиката Comet (известного также как Shadow / Twelve) и их соучастников, направленные против российских компаний. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.

Comet, ранее известная как Shadow, - это вымогательская группа, которая сначала крадет конфиденциальные данные, а затем шифрует их и требует выкуп за расшифровку. В 2023 году максимальный запрошенный выкуп составил $3,5 млн.

Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.

После публикации отчета F.A.C.C.T., в котором было выявлено , что Shadow и Twelve используют одни и те же инструменты и инфраструктуру, Shadow провела ребрендинг и стала Comet.

Вместе с тем, среди соучастников Comet / Twelve выявлены участники группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру. Отчет Positive Technologies раскрыл инструменты, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

В атаках Comet / Twelve используются вредоносные программы, включая DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.

Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру.

Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:

  • 192.210.160[.]165
  • 45.89.65[.]199
  • 5.181.234[.]58
  • 5.252.177[.]181
  • 62.113.116[.]211
  • 78.46.109[.]143
  • 88.218.61 [,]114
  • 94.103.88[.] 115
  • 94.103.91[.]56
  • 94.158.247[.]118
  • 193.201.83[.]18
  • 45.11.181[.]206
  • 212.118.54[.]88
  • 193.201.83[.]17
  • popslunderflake[.]top
  • getanaccess [.] net
  • kavupdate[.]com
  • fsbkal[.]com
  • logilokforce[.]com
  • onexboxlive[.]com
  • stoloto[.]ai
  • ptnau[.]com
  • dnssign[.]xyz
  • ukr-net[.]website

F.A.C.C.T. также отметили популярность у хакеров утилит Ngrok и Anydesk для доступа к ИТ-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.